FireEyeは6月6日、都内でセミナー「FireEye SECURITY FRONTLINE 〜サイバーセキュリティ最前線:見えない脅威に、どう立ち向かうか〜」を開催した。サイバー脅威は複雑化、巧妙化し「何が起こっているのか」がますます見えにくくなっている。セミナーは、Eメールやエンドポイントにおける対策のヒントを示しながら、企業が取り組むべき脅威への対抗策を、これからの防御の重要なカギとなる「インテリジェンス」をキーワードに解説した。
「防御は『線』ではなく『面』で」CTO伊東寛氏
セミナーでは、基本となる考え方から実践方法、製品利用のポイント、導入事例が紹介された。最初に登壇したのは、陸上自衛隊においてサイバー戦を担うシステム防護隊初代隊長を務めた経験を持つ、ファイア・アイ最高技術責任者(CTO)の伊東寛氏だ。伊東氏は「進化する脅威とサイバーセキュリティ:防御は『線』ではなく『面』で」と題し、軍事的な観点を踏まえながら、近年の脅威の特徴と、それへの効果的な対処方法を解説した。
「サイバーの世界では多層防御という言葉が使われますが、戦いの歴史のなかではこの防御方法は、第一次世界大戦までの考え方です。防御ラインが1線、2線、3線と増えるなか、浸透戦術や戦車、飛行機といった新しい攻撃が出現し、多層防御では守りきれなくなりました。そこで冷戦時代には、地域全体で防御する、縦深の防御の考え方が広がります」(伊東氏)
縦深の防御では、敵の動きに応じ、適切に対応して、地域内で撃破することを追求する。そこでポイントになるのが、防御地域全体にわたる情報を俯瞰的に知り、前もってそのための準備をしておくことだという。
「サイバーの世界でも攻撃経路が多様化するなか、多層防御ではなく、縦深の防御が求められています。線ではなく面で守ることが重要です。組織内に段階的な防護の仕組みをバラバラに導入するのではなく、システム全体から各種の情報を収集し、総合的に判断して、適切な対応を行うこと。そしてさらに重要な核となるのが脅威インテリジェンスです(伊東氏)」と強調した。
近年のセキュリティの「2大課題」にどう対応するか
続いて、プロダクトマーケティングマネジャーの横川典子氏が登壇。「セキュリティ FRONTLINE(最前線) – 課題編 『常識』が通用しない今の脅威を考える」と題し、現在の脅威への対応でどんな課題を抱えているのかを整理した。横川氏はまず「IPAの情報セキュリティ10大脅威 2019」を挙げながら、標的型攻撃、ビジネスメール詐欺のほか、サプライチェーン攻撃などの攻撃が顕著に増えていることを報告。また、サプライチェーンなどでも用いられるフィッシングメール攻撃で使われる画面の例を挙げながら「本物かニセモノかまったく見分けがつかない攻撃が増えています。なりすまし攻撃が狙うのは、人のこころのスキマです。システムの脆弱性などと違って、人の心の脆弱性は対処が難しい。常識が通用しないのです」と警告した。
そのうえで今日のセキュリティの課題は「不正を不正として検知しきれない」「正規だと思ったものが正規ではない」という2つがあると整理した。前者は、人は機械ではないので完全にコントロールできないうえ、検知回避技術の発達で、不正なものを不正と見抜くことが困難である現実を指している。一方で、正規アカウントや正規コマンドであっても、それを攻撃者が悪用するケースではもはや正規のはずのものが正規ではないという状況を指している。正規のアカウントを攻撃者に握られてしまえば、そのあとの動きの可視性が把握できない。
続いて、登壇したのは技術本部 エンタープライズ事業部コンサルティング・セールス・エンジニア 杉浦一洋氏だ。「セキュリティ FRONTLINE(最前線) – 解決編 今の脅威に立ち向かうための効果的な戦い方」と題して、横川氏が提議した課題への対処法を解説した。
杉浦氏はまず、攻撃者は「情報収集」からはじまり、「初期侵入」「足場確立」を経て攻撃に至り、攻撃中は「内部偵察」「権限昇格」「持続性保持」「水平展開」といった活動を繰り返し、「目的達成」に至ることを解説。そのため、効果的な戦い方としては、初期侵入の段階では、攻撃の91%がメールから始まることを踏まえて「メールをユーザーに届く前に止める」こと、足場確立の段階で「エンドポイントでブロックまたは検知」すること、攻撃中は「社内ネットワークまたはエンドポイントで不審な挙動を検知」すること、さらに万が一にも目的達成されてしまった後でも「エンドポイントで不審な挙動を検知する」ことで、どの場面でも素早く検知および対処ができる仕組みを作ることが求められる。
杉浦氏は、FireEyeの製品紹介を行いながら「情報収集の段階でも、攻撃者、脅威、被害者などの情報を把握し、脅威を予測します。また、被害に迅速に対応するためのインシデントレスポンスを行います。2つの課題に対処するには、人に頼るセキュリティではなく、仕組みで対応できる環境を構築することが重要です」と強調した。
テクノロジーと“人”の力の融合が不可欠
脅威の検知や対応では、導入した製品を自社で管理するだけではなく、Mandiantのようなサービスを活用することもカギになる。というのは、攻撃の高度化・巧妙化に追随して、自社の体制を即座に修正し、人材を育成し続けるのは現実的には困難だからだ。続いて登壇したMandiantシニアコンサルタント中村祐氏は「攻撃者追跡と侵害調査の現場から ~FireEyeのココがすごい!をMandiantコンサルが解説~」と題して、世界的なリーダーとして評価されるFireEyeで、実際の脅威にどう対応しているのかを解説した。
FireEyeでは、グローバルで22ヶ国150名以上のアナリストと調査員を配し、56ヶ国1万5000台のネットワークセンサーから得られる情報を分析している。こうして作られる脅威インテリジェンスは、さまざまなユーザー企業のインシデント対応やアセスメントにも生かされている。
「Mandiantコンサルティングはインシデント対応のパイオニアとして15年以上の実績を持ち、Fortune100企業の40%以上が利用しています。特徴は、エージェントベースのインシデント対応、短時間で対応できるライブレスポンス、Indicator of Compromise(IOC)情報を利用した広範囲の侵害検索の3つにあります。2014年からはFireEyeの技術リソースもフル活用しています」(中村氏)
事例として、アジア有数の金融機関において脅威の侵入を調査したケースや、米国の金融会社に対して、SOCの検知能力をテストしたケースなどを紹介。FireEyeの脅威インテリジェンスを活用しながら、企業向けのインシデントレスポンスサービスや、現実にどのように攻撃するかをシミュレーションするレッドチームアセスメントサービスを展開していることをアピールした。
常時SSL化による新たな要件に対応。最高レベルのセキュリティ対策を実現:東ソー情報システム 郷田氏
最後のセッションでは、東ソー情報システム システムサービス事業部 事業部長 郷田佳史氏が登壇。「セキュリティ製品選定の難しさと当社でのFireEye導入の経緯」と題して、同社の導入事例を紹介した。
東ソーは、クロル・アルカリ、石油化学、機能商品の3分野で事業を展開する化学メーカーだ。コモディティとスペシャリティを持つ「ハイブリッドカンパニー」を標榜し、売上高は8615億円(2019年3月期)、営業利益1057億円となる。東ソー情報システムは、IT戦略子会社としてグループの情報システムの開発から運用までを担っている。
国の「重要インフラ分野」の一つに特定されている化学業界にあって、今後増加すると予想されるサイバー攻撃への対策を強化しているという同社では、2018年にSSL通信のセキュリティを確保するため「FireEyeネットワーク・セキュリティ」を導入した。
「FireEyeネットワーク・セキュリティに新たにSSL復号機能が備わったことで、次世代FW製品など既存設備をそのまま活用しながらコストを抑えて導入ができました。SSL通信の防御だけでなく、FireEyeの強力な脅威防御機能が当社のセキュリティ確保に大いに貢献しています」(郷田氏)
また郷田氏は、自身の経験を踏まえてセキュリティ製品選定の難しさを指摘。導入してみないと実際のところはわからないという部分が拭えないため、市場における実績は重要なポイントとしつつ、社内での合意形成や稟議手続きには合理的なストーリーでの説明が求められるなどと話し、来場者も納得した様子を見せていた。
インテリジェンスを核に包括的なサイバーセキュリティ・ソリューションを提供
ファイア・アイ 執行役副社長 岩間優仁氏は、FireEyeの年次脅威レポート「M-Trends 2019」について触れながら、
「企業で利用されているセキュリティツールは平均で85個、そこから1日に上がるアラート数は1万件に達します。また、侵害発生に気づくまでには平均101日、対応までには平均32日かかります。セキュリティ運用は限界を迎えつつあり、どうツールを統合していくかが問われています」と話した。
FireEyeは、Eメールやネットワーク、エンドポイントなどの各領域を保護する製品と、さまざまな脅威を検知、分析する脅威インテリジェンス、脅威に対抗するためのアセスメントやインシデント・レスポンスを行う「Mandiant」サービスを展開する。そして、それらを包括的に統合し、セキュリティ運用の簡素化・自動化を行うプラットフォームを提供する。
岩間氏は、「これらさまざまな製品とサービス組み合わせ、脅威を可視化し、迅速に対処できるように支援しています。テクノロジーとインテリジェンスを世界最高レベルの人の力と融合することで、お客様の大切な資産を攻撃者から守るお手伝いをするのがFireEyeの使命です」と締めくくった。
●M-Trends 2019 : セキュリティ侵害とサイバー攻撃の背景にある最新トレンドレポート
2018年に新たに見つかった攻撃グループの特徴や、インシデントレスポンスの現場から得られた攻撃の特徴とベストプラクティスなどを解説するFireEyeの年次レポートです。
[PR]提供:ファイア・アイ